X 1 

if" : 



<§) BUNDESREPUBLIK @ % 
DEUTSCHjLAND 

® 




DEUTSCHES 
PATENT- UNO 
MARKENAMT 




® Aktenzeichen: 
(2) Anmeldetag: 
@ Offenlegungstag: 



l&sngsschrift 
1487 A 1 



100 05 487.0 

8. 2.2000 

9. 8.2001 



© int. CI. 7 : 

G 07 C 9/00 

H 04 L 9/32 




oo 
*t 
in 
o 

o 
o 




® Anmelder: 

Siemens AG, 80333 Munchen, DE 



® Erfinder: 

Prange, Stefan, Dr.-lng., 81476 Miinchen, DE 



^^:::^z^:::r n vom Anmeider — " 

sprTr e nn f e ^ S A E y d9 H er ' tS dBS Nut2erS -d/oder an- 
I Endgerat generiert und dieser Code vom 
Endgerat zur Entschlusselung und/oder Verifizimfng an 
das Diensteterminal iibermittelt. ""lerung an 



oo 

o 
o 
o 




UJ 
Q 



BEST AVAILABLE COPY 



DE 100 05 487 Al 



fur eiften " Nui?.ungsvorgang ein bestimmmr Code ausge- 
wahlt wird. Auch bei dieser Ausfuhrungsform ware schon 
eine relativ groBe Sicherheit gegeben, wenn der Bestand an 
Codes groRgenug gewahlt wird. 

Vorzugsweise ist der Code jedoch ein eindeutig dem je- 
weiligen Nutzungsvorgang zugeordneter Code, welcher 
speziell fur den Nutzungsvorgang generiert und nur einmal 
verwende! wird. 

Bei einer besonders vorieilhaften Ausfuhrungsform wird 
der Code unter Verwendung eines dem Nutzungsvorgang 
und/oder dem Diensteterminal zugeordneten Parameters ge- 
neriert. Ein soldier Parameter ist beispielsweise das Datum, 
die Uhrzeit, bei einem Bezahlvorgang der Betrag, der On 
der Nutzung, z. B. der Name oder eine Kennummer emes 
Geschaftes, oder eine Nummer des Diensteterminals. Diese 
Parameter konnen, wie beispielsweise das Datum oder die 
Uhrzeit, automatisch durch eine im Endgerat befindliche 
Uhr gcncricrt wcrdcn. Andcrc Parameter wic Betrag oder 
Terminalnummer konnen beispielsweise auch von Hand 
durch den Benutzer in das Endgerat eingegeben werden. Der 
Ort laBt sich beispielsweise durch eine Lokalisierungsein- 
richtung des Gerats, wie z. B. durch ein auf GPS oder einem 
Funknetz basierenden Ortungssystem, auch automatisch 
feststellen. 

Bei einer weiteren vorleilhaflen Ausfuhrungsform wird 
der Code unter Verwendung eines eindeutig dem Nutzer 
bzw. dem Endgerat zugeordneten Parameters generiert. 
Hierbei kann es sich urn eine Kundenidentitatsnumrner, eine 
Telefonnurnmer oder eine Kreditkartennummer des Nutzers 
handeln. Insbesondere kann es sich hierbei auch urn eine 
PIN handeln, das heiBu es.wird nur dann ein Zugangscode 
ausgegeben, wenn die richtige PIN eingegeben wird. In die- 
sem Fall ware die gleiche Sicherheit gegeben wie bei der 
Benutzung von Kreditkarten mit einer PIN, die am Dienste- 
terminal eingegeben wird. Jedoch hat dieses Verfahren den 
Vorteil, daB sich der Benutzer nur eine PIN merken muB und 
mil dieser PIN die verschiedensten Zugangscodes fur die 
unterschiedlichsten Dienste bzw. Diensteterminals erzeugen 
kann. 

Fur hone Sicherheitsstufen konnen als Parameter auch 
biometrische Daten des Nutzers, beispielsweise ein Finger- 
abdruckmuster oder dergleichen, verwende! werden. Hierzu 
muB das Endgeral lediglich eine entsprechende Einrichtung 
zum Einlesen der bionietrischen Daten aufweisen. Bei der 
Codegenerierung konnen die genannten Parameter entweder 
direkt als Ausgangsparameter verwendet werden, aus denen 
der Code generiert wird. Es ist aber auch moglich, daB die 
Parameter nichi direkt in den Code selbst eingehen, sondern 
lediglich insoweit verwendet werden, als daB ihre Richtig- 
keit gepruft wird und erst dann ein Code generiert wird. Es 
ist selbstverstfindlich auch eine beliebige Kombination der 
verschiedenen Parameter moglich. 

Die Generierung des Codes fiir das Endgerat kann z. B. 
im Endgerat selbst in einer entsprechenden Codegenerie- 
rungseinrichtung erfolgen. Diese interne Codegenerierungs- 
einrichtung kann sich aber auch auf einer SIM-Karte o. a. 
auswechselbarem Modul im Endgerat befinden. 

Die Codegenerierung kann jedoch auch in einer extemen 
Codegenerierungseinrichtung, beispielsweise eines zentra- 
len Anbieters im Netz, erfolgen. Es ist auch eine teilweise 
Generierung des Codes in einer zentralen Einrichtung im 
Netz und im Gcrat. bzw. auf einer SIM-Karte oder derglei- 
chen moglich. Das heiBu der Algorithmus zur Erzeugung 
des Codes befindet sich teilweise im Endgerat und teilweise 
im Nctz. Hicrdurch sind bclicbig hohc Sichcrhcitsstufcn cr- 
reichbar. 

Die Erzeugung des Codes in einer externen Codegenerie- 
rungseinrichtung erfotgt vorzugsweise durch ein Anforde- 



rungssignal, welches voni .Endgerat an ate Codegenerie- 
rungseinrichiung gesendei. wira. Dies kann otispielswcj.v- 
bei einem Mobiltelefon uber SMS erfolgen. Dieses Anfor- 
derungssigna! kann u. a. die genannien dem Diensteicnm- 
5 nal, dem Nutzungsvorgang, deni Nutzer oder dem Endgerat 
zugeordneten Parameter enthalten. 

Ebenso kann fur das Diensteterminal ein Code erzeugt 
werden, der dazu benutzt wird, den Code des Endgerats zu 
entschlusseln oder in anderer geeigneter Weise zu verifizie- 
10 ren. Eine einfache Moglichkeit besteht darin, daB beide 
Codes identisch sind und ein Vergleich der Codes stattfindet. 
Nur bei I Jbereinstimmung der ('odes wird dann die Transak- 
tion durchgefuhrt. 

Vorzugsweise wird der Code jedoch mit einem asymme- 
15 trischen Verschlusselungsverfahren erzeugt. Das heiBi, der 
Schlussel des Endgerats zum Erzeugen des Codes und der 
Schlussel des Diensteterminals, um den Code zu entschlus- 
seln oder zu vcrifizicrcn und den Nutzer bzw. das Endgerat 
zu identifizieren, sind unterschiedlich. 
20 Der Code kann dabei von einer im Diensteterminal be- 
findlichen Codegenerierungseinrichtung oder einer externen 
Codegenerierungseinrichtung, beispielsweise einer Codege- 
nerierungseinrichtung in einem Netz von mehreren Dienste- 
terminals, generiert werden. Es kann sich hierbei insbeson- 
25 dere auch uui die gleiche Codegenerierungseinrichtung han- 
deln, die auch den Code fur das Endgerat erzeugt. In diesem 
Fall wurde aufgrund des Anforderungssignals in der Code- 
generierungseinrichtung ein Code erzeugt und an das End- 
gerat und an das Diensteterminal versendet. 
30 Bei einem weiteren bevorzugten Ausfuhrungsbeispiel 
werden die Codes separat, d. h. der Code fur das Endgerat 
des Nutzers vom Endgerat selbst und der Code fur das Dien- 
steterminal von der internen oder externen Codegenerie- 
rungseinrichtung generiert. In diesem Fall kann beispiels- 
35 weise gleichzeitig mit der Generierung des Codes im End- 
gerat ein entsprechendes Anforderungssignal an die Code- 
generierungseinrichtung erfolgen, worauthin der Code fur 
das Diensieterminal erzeugt wird. 

Bei einer weiteren bevorzugten Ausfuhrungsform wird 
40 der Code fur das Endgerat oder der Code fur das Diensteter- 
minal bzw. beide Codes jeweils in einem rekursiven Verfah- 
ren unter Verwendung des bei dem vorherigen Nutzungsvor- 
gang verwendeten Codes generiert. Bei dem rekursiven Ver- 
fahren handelt es sich vorzugsweise um einen geheimen Al- 
45 gorithmus, um einen moglichst hohen Sicherheitsstandard 
zu erreichen. Es ist auch moglich, daB der Code nur teil- 
weise unter Verwendung eines rekursiven Verfahrens er- 
zeugt wird. Das heiBt, es wird quasi ein Grundcode rekursiv 
erzeugt und zur Erzeugung des endguttigen Zugangscodes 
50 werden dann weitere Parameter, beispielsweise die dem 
Nutzungsvorgang zugeordneten Parameter wie Datum, Uhr- 
zeit, Betrag, Ort oder die dem Endgerat bzw. dem Nutzer zu- 
geordneten Parameter wie PIN, hinzugefugt und daraus der 
Gesanucode generiert. 
55 Bei einem rekursiven Verfahren zur Erzeugung des Codes 
fur das Diensteterminal und einer separaten Erzeugung des 
Codes fur das Endgerat kann das Anforderungssignal zur 
Erzeugung eines Codes fur das Diensietenninal auch impli- 
zit mit der Ubersendung des Codes an das Diensteterminal 
60 bei dem vorherigen Nutzungsvorgang erfolgen. Das heiBt, 
bei Ubersendung des Codes bei einem Nutzungsvorgang 
wird automatisch gleich vom Diensietenninal bzw. von der 
externen Codegenerierungseinrichtung des Dienstetermi- 
nals ein neuer Code fur den nachsten Nutzungsvorgang er- 
65 zcugt und in cincm Spcichcr abgclcgt. 

Ein erfindungsgemaBes Endgerat weist je nach Art des er- 
findungsgeinaBen Verfahrens entweder eine interne Codege- 
nerierungseinrichtung oder eine entsprechende Einrichtung 
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Gleichzeiiig wird ein Anforderungssignai AS uber einen 
SMS-Kanal des Mobitrunknetzes direkt an die Empfangs- 
einrichtung 8 des zemraien Rechners 6 ubermiitelL Dieses 
Anforderungssignal AS wird an die Codcgenerierungsein- 
richtung 7 weitergeleitet. Das Anforderungssignal AS ent- 
halt u. a. die von der Codegenerierungseinrichtung 4 des 
. Mobiltelefons 1 fur die Generierung des Codes genutzten 
Daten. In der Codegenerierungseinrichtung 7 wird darauf- 
hin parallel ein Code C erzeugu welcher an das Diensteter- 
minal 10 UbermitteU wird. Uber die Datenleitung 9, 16 ge- 
langt dieser Code C zur Einrichtung 12 zur Verifizierung 
des vom Mobiltelefon 1 erzeugten Codes C. 

Zur Ubermittlung des Codes C von dem Mobiltelefon 1 
zuni Diensteterminal 10 bestehen verschiedene Moglichkei- 
icn. 

Zum einen kann eine direkte Ubermittlung uber die draht- 
losen Funkschnittstellen 5. 11 erfolgen. Weiierhin isi es 
moglieh. daB der Code C in alphanumcrischcr Form auf dem 
Display 3 des Mobiltelefons 1 dargestelll wird. Dieser Code 
C kann dann vom Nutzer oder einer das Diensteterminal 10 20 
hedienenden Person uber die Tastatur 13 in das Diensteter- 
minal 10 eingegeben werden. 

Jc nach Eingabeart gelangt der Code C iiber die Leitungen 
15 oiler 17 y.ur Einrichtung 12 zur Verifizierung des Codes 
C. Hicr win) tier Code C eniweder niit Hi lie des Codes C 25 
enisdilussch und so verifiziert oder bei Erzeugung eines 
identisehen Codes C, C fur das Mobiltelefon 1 und das 
Dicnsteienninal 10 einfach verglichen. Das Diensteterminal 
10 kann /.usiii/.lich aufgrund des eingegebenen Codes C als 
Quittungscode cine Rechnung erzeugen, die dann noch vom 30 
Kunden, wie hei den bisherigen Zahlungsmethoden mit ei- 
ner liC- Kane, umerschrieben wird. 

Die Fij;. 2 und 3 zeigen eine alternative Methode zur 
Ubergahc des Codes C. Hierbei wird auf dem Display 3 des 
Mobiltelefons 1 ein Codemuster, im vorliegenden Beispiel "VS 
ein Muster, bestehend aus einem Baikencode C und einem 
darunter angeordneten alphanunierischen Code, erzeugt. 
Dieser Baikencode C wird dann uber eine Leseeinrichtung 
18 gelesen, indem das Mobiltelefon 1 mit dem Display 3 auf 
ein Scannerfenster 19 der Leseeinrichtung 18 des Dienste- 40 
terminals lOaufgclegt wird. 

Die leseeinrichtung 18 kann hierbei in das Dienstetermi- 
nal 10 integricri sein. Es kann sich aber auch, wie darge- 
slellt. uin eine ex t erne Leseeinrichtung 18 handeln, die 
durch eine entsprechende Leitung oder uber eine drahtlose 45 
Vcrbindung mit. dem Diensteterminal 10 kommuniziert. Im 
einfachsten Fall handelt es sich bei der Leseeinrichtung 18 
beispielsweise uni einen Laserscanner. welcher sich ohnehin 
am Dicnsteienninal 10 befindet, um Balkencodes auf Waren 
oder dergleichcn einzulesen. 50 

Wie die Beispiele zeigen, isi das erfindungsgemaBe Ver- 
fahren auBersi universell und mit heute verfugbaren Endge- 
raten und Diensteierminals realisierbar, ohne daB aufwen- 
dige technische Anderungen oder neue Komponenten hin- 
zugetugt werden miissen. Es sind tediglich Anderungen in 55 
den Stcuerungen der jeweiligen Gerate erforderlich, wobei 
die verschicdenen Applikationen. beispielsweise bei Mobil- 
telefonen oder ahntichen Geraten. auch auf enisprechenden 
SIM-Karten oder in anderen Modulen realisierl werden kon- 

Je nach Aufwand sind die verschiedensten Sicherheitsslu- 
fen erreichbar, indent zur Erzeugung des Codes verschie- 
dene Parameter verwendet werden. welche eindeutig mit der 
Person des Nutzers oder mit dem Diensteterminal zusam- 
menhangen. Wcitcrhin konnen beispielsweise Uber SMS 65 
vom Diensteterminal oder vom jeweiligen Endgerat zur Er- 
hohung der Sicherheit zusalzliche Nummern iibermittelt 
werden, welche ebenfails in die Generierung der Codes, 
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d. h. zur Verschlusselung bzw. auch zur Entschiusselung, 
einfiieBen. 

Die Algoriihinen zur Erzeugung der Codes konnen bche- 
nig kompliziert. sein und konnen auf verschiedene F.inrieh- 
5 tungen verteilt sein. so daB auch auf diese Weise die Sicher- 
heit erhoht werden kann. 

Da der Code fur jede Transaktion nur einmal genutzt 
wird, muB hierbei an der kritischsten Sielle, namlich bei der 
UbermitUung des Codes vom Endgerat an das Dienstetermi- 
nal, welche in der Regel in der Anwesenheit von weiteren 
Personen, wie dem Bedienpersonal des Diensteterminals 
oder anderen Kunden, stattfindet, der Code nicht besonders 
geschutzt werden. 

Das Verfahren ersetzt somit auch aufwendige TAN-Listen 
undeignet sich insbesondere auch gut fur die Bezahlung von 
Waren und Dienstleistungen per Internet. In diesem Fall 
ware dann das Diensteterminal beispielsweise der eigene 
Computer dcs Nutzers. Die Codegenerierungseinrichtung 
befindet sich dabei beispielsweise in einem Server des Dien- 
steanbieters. Zur Durchfuhrung einer Transakuon mit dem 
Diensteterminal, beispielsweise beim Homebanking, kann 
der Nutzer wie bisher seine private Zugangsnummer nutzen 
und zusatziich fur jede Transakuon eine uber das Endgerat 
erzeugte und ausgegebene Zugangsnummer verwenden, 
welche einmalig fur die jeweilige Transaction herausgege- 
ben wird und damit die bisherige TAN ersetzt. 

PateDtanspriiche 

1. Verfahren zur Nutzeridenutatskontroile an einem 
Diensteterminal (10). bei dem unter Verwendung eines 
Endgerats (1) des Nutzers und/oder ansprechend auf 
ein Anforderungssignal (AS) des Endgerats (1) ein 
Code (C) fur das Endgerat (1) generiert und dieser 
Code (C) vom Endgerat (1) zur Entschlusselung und/ 
oder Verifizierung an das Diensteterminal (10) uber- 
mittelt wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB der Code (C) ein eindeutig dem jeweiligen 
Nutzungsvorgang zugeordneter Code (C) ist. 

3. Verfahren nach Anspruch 1 oder 2. dadurch gekenn- 
zeichnet, daB fur das Dienstetenninal (10) ein Code 
(C) generiert wird und das Diensteterminal (10) unter 
Verwendung dieses Codes (C) den vom Endgerat (1) 
empfangenen Code (C) entschlusselt und/oder verifi- 
ziert. 

4. Verfahren nach einem der Anspriiche 1 bis 3, da- 
durch gekennzeichnet, daB vom Endgerat (1) des Nut- 
zers ein Anforderungssignal (AS) an eine Codegenerie- 
rungseinrichtung (7) gesendet wird und daraufhin von 
der Codegenerierungseinrichtung (7) der Code (C) ge- 
neriert und an das Diensteterminal (10) ubenmttelt 
wird. 

5. Verfahren nach Anspruch 4, dadurch gekennzeich- 
net, daB der von der Codegenerierungseinrichtung ge- 
nerierte Code als Code fiir das Endgerat an das Endge- 
rat ubermittelt wird. 

6. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet. daB die Codes (C C) separat 
von dem Endgerat (1) des Nutzers und der Codegene- 
rierungseinrichtung (7) generiert werden. 

7. Verfahren nach einem der Anspriiche 1 bis 6, da- 
durch gekennzeichnet, daB der Code (C\ C) jeweils 
ganz oder teilweise in einem rekursiven Verfahren un- 
ter Verwendung dcs bei dem vorhcrigen Nutzungsvor- 
gangs verwendeten Codes generiert wird. 

8. Verfahren nach einem der vorstehenden Anspriiche. 
dadurch gekennzeichnet, daB der Code (C, C) unter 
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